Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Новая тенденция в "лучших практиках" ИБ - Лидерство

Аватар пользователя prozorov
Автор: Прозоров Андрей, Независимый эксперт и блоггер
(2)
()
Опубликовано в:

Заметил достаточно интересную тенденцию, которая стала проявляться в международных "лучших практиках" по управлению ИБ и ИТ. А именно, акцентирование внимания на Leadership/Лидерство (руководства/менеджмента организации) помимо уже привычных Responsibility/Ответственность и Сommitment/Обязательства.

Даже специально проверил упоминание в стандартах:

  • в COBIT 4.1 термин Лидерство уже присутствовал , а в COBIT 5 эта тема еще больше раскрыта
  • в ITIL v3 про Лидерство тоже довольно много написано
  • в стандартах ISO (20k и 27k) про Лидерство ничего не говорят. Первое упоминание встретил лишь в ISO 22301-2012, при этом в предыдущей версии стандарта (BS 25999) упоминания не было...

Какая занятная тенденция, особенно учитывая, что ITIL и COBIT сейчас являются передовыми стандартами/лучшими практиками, а документы ISO находятся в позиции догоняющего, на котором якорем висят старые подходы и модели (например, PDCA и типовая структура стандартов менеджмента).

Ну, вернемся к конкретным примерам...

Например, в ISO 22301 мы можем увидеть целую главу 5.Leadership с общей фразой: "Persons in top management and other relevant management roles throughout the organization shall demonstrate leadership with respect to the BCMS. EXAMPLE: This leadership and commitment can be shown by motivating and empowering persons to contribute to the effectiveness of the BCMS." Ничего подобного в ISO 27001 нет...

Напомню, что в ISO 27001 фигурировали фразы типа "Management shall provide evidence of its commitment...", сейчас в ISO 22301 используется "Top management shall demonstrate leadership and commitment...". В принципе никаких других принципиальных нововведений в документах ISO  не появилось...

В COBIT 5 авторы более детально рассматривают понятие Лидерство. Часто его упоминают в принципах COBIT5 и далее по тексту. Особенно много внимания уделено в "Culture, Ethics and Behaviour Enabler"  в книге "COBIT 5 for IS".

В COBIT 5 определяют следующее поведение сотрудников, которое влияет на информационную безопасность (в лучшую сторону):

  1. IS is practiced in daily operations. Применение подходов ИБ в повседневной деятельности
  2. People respect the importance of IS policies and principles. Понимание сотрудниками важности политик и принципов ИБ.
  3. People are provided with sufficient and detailed IS guidance and are encouraged to participate in and challenge the current IS situation. Сотрудники обеспечены необходимыми материалами и "лучшими практиками" по ИБ и приглашаются к участию при решении вопросов, связанных с ИБ
  4. Everyone is accountable for the protection of information within the enterprise. Каждый сотрудник несет ответственность за ИБ в компании
  5. Stakeholders are aware of how to identify and respond to threats to the enterprise. Заинтересованные стороны осведомлены о наличии угроз ИБ и определяют подход к реагированию на них
  6. Management proactively supports and anticipates new IS innovations and communicates this to the enterprise. The enterprise is receptive to account for and deal with new IS challenges Руководство активно поддерживает развитие ИБ
  7. Business management engages in continuous cross-functional collaboration to allow for efficient and effective IS programmes. Руководители подразделений обеспечивают эффективные коммуникации между отделами при решении задач ИБ
  8. Executive management recognises the business value of IS. Высшее руководство признает ценность ИБ для бизнеса

Для достижения и поддержания такого поведения в COBIT 5 предлагают ориентироваться на три уровня Лидерства:

  1. Executive management at the top level
  2. Business management at the business unit level
  3. Information security management (CISO/ISM) at the information security level

По мнению авторов COBIT5 чаще всего лидерами изменения корпоративного поведения становятся риск-менеджеры (Risk managers), профессионалы в ИБ (Information security professionals), высшее руководство (C-level executives: CEO, COO, CFO, CIO), руководство отдела кадров (Head of HR). При этом они могут влиять на поведение следующими способами:

  1. Influencing Behaviour Through Communication, Enforcement, and Rules and Norms. Влияние на поведение через Общение, Правоприменение, Правила и Нормы.
  2. Influencing Behaviour Through Incentives and Rewards. Влияние на поведение посредством стимулов и наград.
  3. Influencing Behaviour Through Raising Awareness. Влияние на поведение путем повышения осведомленности.

По каждому из этих пунктов авторы COBIT5 дают рекомендации и советы.

Обратите внимание на эту информацию и, занимаясь вопросами информационной безопасности, особенно внедряя комплексные системы, заранее прорабатывайте вопросы, связанные с лидерством и мотивацией персонала.

 

P.S. Кстати, про мотивацию я периодически пишу в этой ветке.

 

Оцените материал:
Total votes: 168
Тэги: 
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Ригель

А че, не из исо9к его тянут?

up
36 users have voted.
Аватар пользователя prozorov

Михаил, в том то все и дело, что в 9001 (2008) тема лидерства тоже еще не озвучивается. Поэтому когда в 22301 увидел, то дивился и решил немного покопать...

up
47 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.